Paquetes maliciosos de Rspack y Vant publicados con tokens NPM robados

Iniciado por Dragora, Diciembre 20, 2024, 03:57:30 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.


Tres paquetes populares de npm, @rspack/core, @rspack/cli y Vant, fueron comprometidos mediante tokens robados, lo que permitió la publicación de versiones maliciosas diseñadas para instalar criptomineros. Este ataque a la cadena de suministro, identificado por investigadores de Sonatype y Socket, utilizó el minero XMRig para extraer la criptomoneda Monero.

Detalles del ataque

Los tres paquetes afectados fueron manipulados simultáneamente, lo que afectó a varias versiones:

  • @rspack/core: Componente principal del empaquetador de JavaScript Rspack, descargado 394,000 veces por semana.
  • @rspack/cli: Herramienta de línea de comandos de Rspack, con 145,000 descargas semanales.
  • Vant: Biblioteca de interfaz de usuario para Vue.js, con 46,000 descargas semanales.

El código malicioso se ocultó en archivos clave como support.js y config.js, utilizando scripts de postinstalación para ejecutarse automáticamente tras la instalación. Este malware accedía a la API de geolocalización de No tienes permitido ver enlaces. Registrate o Entra a tu cuenta para recopilar información sobre la red de la víctima antes de descargar y ejecutar el binario XMRig desde un repositorio de GitHub.

Impacto y ocultación

El criptominero operaba de manera discreta al limitar el uso de la CPU al 75% de los subprocesos disponibles. En el caso de Vant, el archivo malicioso fue renombrado a /tmp/vant_helper para evitar detección.

Versiones comprometidas

Rspack:

  • Versión afectada: 1.1.7
  • Solución: Actualizar a 1.1.8 o versiones posteriores.

Vant:

  • Versiones afectadas: 2.13.3 a 2.13.5, 3.6.13 a 3.6.15, y 4.9.11 a 4.9.14.
  • Solución: Actualizar a 4.9.15 o posteriores.

Respuesta de los desarrolladores


Ambos proyectos confirmaron el compromiso de sus cuentas npm y emitieron disculpas públicas:

  • Rspack: "El 19/12/2024 detectamos que nuestro paquete fue atacado mediante un token npm robado. Hemos lanzado una versión limpia y tomado medidas adicionales de seguridad."
  • Vant: "Nuestro token npm fue comprometido, lo que resultó en la publicación de varias versiones maliciosas. Pedimos disculpas y hemos reforzado nuestras prácticas de seguridad."

Contexto de otros ataques

Este incidente sigue a otros compromisos recientes de la cadena de suministro, como:

  • LottieFiles: Enfocado en activos de criptomonedas.
  • Ultralytics: Utilizó recursos de hardware de usuarios para criptominería.

Recomendaciones

Para protegerse contra ataques similares:
  • Actualice sus dependencias: Verifique y actualice los paquetes a las versiones seguras mencionadas.
  • Implemente monitoreo de seguridad: Use herramientas que detecten código malicioso en dependencias.
  • Adopte buenas prácticas de seguridad: Limite los permisos de tokens y proteja las credenciales de acceso.

La protección contra ataques a la cadena de suministro requiere una vigilancia constante y el compromiso de los desarrolladores y usuarios para salvaguardar el ecosistema.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta